‘CC main control areas’ op basis van de
literatuur:
•
IT Governance over CC
o
Policy
o
Architecture
o
Third party relationship
management (legal,
compliance, trust)
•
Security awareness
•
Data protection in the cloud
o
Identity & Access
management
o
Data storage
o
Encryption and key
management
o
Isolation in a multi-tenancy
environment
o
Secure use of virtualisation
•
Logging and monitoring
•
Incident management
•
Application security
•
Business continuity management
o
Availability of the internet
connection
o
Back-up and restore
o
Disaster recovery
o
Financial and other stability of
the supplier
Risicoanalyse – maatregelenselectie
Op de vorige pagina’s zijn eigenlijk al een aantal malen de meest relevante maatregelen van informatiebeveiliging in combinatie met CC aan de orde geweest. Dit begon met het CC Security Readiness Assessment waarin eigenlijk al een eerste toets plaatsvindt. Daarnaast kan in de selectie van CC service providers gewerkt worden met een programma van eisen waarin deze maatregelen terugkomen. Hiervoor kan gebruik worden gemaakt van materiaal uit verschillende bronnen; zie het overzicht van standaarden en ‘best practices’. Uiteraard kan een (delta) risicoanalyse uitgevoerd worden met behulp van de door de organisatie gehanteerde risicomethode. In de behandeling van het IRM-framework© zijn verschillende methoden genoemd. Voorts wordt in de literatuur vaak genoemd dat een verschuiving plaatsvindt qua conceptuele benadering. Beveiliging gedurende lange tijd gericht op het ‘beveiligen van de grenzen’, de zogenaamde perimeter benadering. Dit resulteerde dan in compartimentering met firewalls en een DMZ (De-militiarized zone). Cloud computing heeft een boost gegeven aan het loslaten van dit ‘perimeter concept’ richting ‘layered security’ en dan met name een ‘data centric approach’. De data staan voorop als te bewaken asset. Het is dan nodig te bepalen wie toegang mag hebben tot die data, op welke wijze, wat hij/zij met die data mag doen (via identity & access management) en via logging en monitoring te controleren wat er daadwerkelijk met die data gebeurt. [Deperimeterisering wordt veelal in verband gebracht met het ‘Jericho Concept’, zie The Open Group Jericho Forum ®. Tot slot wordt nogmaals gewezen op het belang van de juiste invulling van het ‘’trust-model’, dat de verhouding regelt tussen klant en CC serviceprovider en de aard en omvang van zowel de klant als de dienstverlening zullen bepalen wat mogelijk is. *) nog link opnemen naar dit de plek waar dit ‘trust-model’ aan de orde komt! .
